La Federal Communications Commission (FCC) è pronta a votare una proposta per rafforzare la sicurezza del Border Gateway Protocol, un elemento chiave di Internet.
La Federal Communications Commission (FCC) degli Stati Uniti è in procinto di votare una proposta volta a migliorare la sicurezza di un componente fondamentale dell’Internet moderno. Questa regola, se approvata, attenuerebbe alcune, ma non tutte, le critiche precedentemente mosse ai piani dell’agenzia per rafforzare il Border Gateway Protocol (BGP).
Secondo la proposta, i fornitori di servizi Internet a banda larga dovrebbero sviluppare e mantenere piani di instradamento Internet sicuri. I nove fornitori più grandi sarebbero tenuti a presentare rapporti trimestrali alla FCC sui loro sforzi.
“Che tu stia facendo operazioni bancarie online, utilizzando la telemedicina per consultare il medico o frequentando la scuola a distanza, ti affidi a un insieme di regole tecniche chiamate Border Gateway Protocol (BGP) per instradare i tuoi dati in modo efficiente”, ha dichiarato la presidente della FCC, Jessica Rosenworcel, in maggio, quando ha annunciato la regola. “Questo protocollo è stato progettato per l’efficienza, non per la sicurezza. Di conseguenza, manca di funzionalità di sicurezza esplicite, il che ha permesso ai criminali di ‘dirottare’ il traffico online”.
Se la FCC votasse per approvare l’Avviso di Proposta di Regolamentazione, la regola farebbe un passo avanti verso l’adozione finale, aprendola al commento pubblico. Per sostenere la necessità di rafforzare la sicurezza del BGP, l’avviso cita un incidente in cui gli aggressori hanno utilizzato il dirottamento del BGP per rubare criptovalute e un altro in cui si sospetta che gli operatori di rete russi abbiano sfruttato la vulnerabilità del BGP per interrompere i servizi finanziari prima dell’invasione dell’Ucraina.
L’industria delle telecomunicazioni e alcuni gruppi che lavorano per un Internet sicuro e aperto avevano espresso preoccupazioni sia quando la FCC aveva per la prima volta proposto l’idea di regolamenti sulla sicurezza del BGP nel 2022, sia quando la commissione ha riproposto l’idea durante il dibattito sulla ripristino delle regole sulla neutralità della rete. Queste preoccupazioni includevano timori che le discussioni allora vaghe della FCC avrebbero portato a regolamenti eccessivamente prescrittivi che avrebbero potuto generare proposte contrastanti da parte di altre nazioni.
La Global Cyber Alliance, un’organizzazione no profit i cui partner includono un elenco di grandi aziende tecnologiche, ha scritto alla FCC in aprile, insieme alla Internet Society, esprimendo queste preoccupazioni. Tuttavia, l’Avviso di Proposta di Regolamentazione che ha delineato i dettagli specifici ha mitigato alcune delle preoccupazioni della Global Cyber Alliance.
“Apprezzando che i progressi nelle infrastrutture Internet possono sembrare glaciali a volte, sembrava che la FCC potesse essere pronta per qualcosa di più prescrittivo in termini di requisiti nell’infrastruttura di instradamento”, ha dichiarato Leslie Daigle, direttore tecnico e direttore del programma di integrità di Internet presso l’alleanza. “Nella misura in cui l’Avviso di Proposta di Regolamentazione sostiene la direzione in cui l’industria si sta già muovendo, stabilendo alcuni obiettivi e concentrando l’attenzione sulle spiegazioni quando le aziende non li rispettano, ciò mitiga le principali preoccupazioni espresse nel nostro deposito”.
La Internet Society, un gruppo di difesa che lavora per sostenere l’infrastruttura di Internet e ha il sostegno di grandi aziende tecnologiche, ha visto miglioramenti nella proposta della FCC, ma non abbastanza da sostenere la misura.
“Apprezziamo che la Commissione abbia adottato un approccio iniziale più leggero alla sicurezza del BGP di quanto avessero suggerito nel loro Ordine di Internet aperto, ma l’intero tono dell’Avviso di Proposta di Regolamentazione si inclina fortemente verso una regolamentazione più dall’alto verso il basso”, hanno dichiarato John Morris e Ryan Polk della Internet Society in una dichiarazione. “Ciò include idee regolamentari problematiche che minacciano di minare i processi multilaterali globali preesistenti importanti per Internet”.
Secondo Morris e Polk, la proposta della FCC, “sembra indicare una mancanza di comprensione della governance multilaterale di Internet, e speriamo che la Commissione agisca con cautela in questo spazio in futuro”.
L’NCTA, che rappresenta l’industria della banda larga e della televisione via cavo, sta ancora cercando modifiche alla proposta del BGP. Il gruppo commerciale vuole che la FCC rimuova i requisiti di reporting trimestrali una volta che i fornitori raggiungono un alto livello di implementazione sicura.
Fare ciò “ridurrebbe sia i costi di conformità che gli oneri per quelle aziende che stanno contribuendo meglio a raggiungere gli obiettivi della Commissione e libererebbe risorse importanti per quei fornitori per continuare altri sforzi per migliorare la sicurezza per i loro clienti”, oltre a fornire incentivi per i fornitori a muoversi rapidamente, ha scritto il gruppo il mese scorso. In definitiva, i membri dell’NCTA “credono che non siano necessarie regole prescrittive in questo settore”, ha scritto.
La proposta della FCC è comunque una risposta positiva ad alcuni dei feedback dell’industria, ha detto Daigle della Global Cyber Alliance, la cui organizzazione è l’organizzazione di supporto formale per un’iniziativa volontaria di sicurezza del BGP. È “un buon segnale per l’industria che la FCC è seria nel voler vedere miglioramenti nella sicurezza dell’infrastruttura di instradamento, pur lasciando un ampio margine di manovra all’industria per determinare come farlo al meglio”, ha detto.